Google Chrome è indiscutibilmente il browser più diffuso al mondo e proprio per questo viene spesso preso di mira dai malintenzionati. Evidente dimostrazione della cosa è data dalla campagna malware che è in corso da alcune settimane a questa parte e che sfrutta aggiornamenti fasulli del navigatore per distribuire malware.
Google Chrome: aggiornamenti fake per distribuire malware
I ricercatori di sicurezza informatica hanno infatti scoperto che visitando specifici siti Internet, i malintenzionati alle spalle della malefatta cercano di infettare i dispositivi degli utenti con l’obiettivo finale di installare un cryptominer, proponendo update farlocchi, come anticipato.
Andando più in dettaglio, i siti Web tentano di colpire i computer con degli script, usando il servizio Pinata IPFS, il quale nasconde l’origine dei file, dopodiché vengono scaricati altri script che attivano la visualizzazione di un messaggio di errore relativo a Chrome.
L’utente viene quindi tratto in inganno dal messaggio che invita a scaricare e installare la nuova versione di Chrome contenuta in un archivio ZIP, ma al suo interno c’è un miner per le criptovalute Monero.
Il malware viene copiato nella directory C:\Program Files\Google\Chrome e mediante la tecnica BYOVD sfrutta una vulnerabilità del driver legittimo WinRing0x64.sys così da ottenere i privilegi SYSTEM.
Successivamente, il miner viene caricato in memoria e il malware aggiunge se stesso alle esclusioni di Microsoft Defender, interrompe il funzionamento di Windows Update e modifica gli indirizzi IP dei server da cui gli antivirus scaricano gli aggiornamenti, dopodiché vengono sfruttare le risorse del computer per generare Monero.